研究者らによると、ハッカーが「TRITON」マルウェアを利用し、中東の重要インフラを保有する組織のシステムを停止させたという。
FireEyeの「Mandiant」部門のサイバーセキュリティ研究者は米国時間12月14日、脅威アクターが重要なインフラストラクチャを有する組織の緊急停止システムを操作できるマルウェアを展開したことを明かした。
この新型のマルウェアであるTRITONは、産業制御システムを狙う悪意あるソフトウェアファミリとして公に特定されている数少ないものの1つで、イランの核施設を狙った「Stuxnet」や、ウクライナで停電を引き起こしたマルウェアに続く種類のものだ。
Symantecの研究者によると、TRITONは少なくとも2017年8月から存在している。TRITONは特定の種類の産業制御システム(ICS)、すなわちTriconex安全計装システム(SIS)コントローラと通信するために設計されたという。
TRITONは、Microsoftの「Windows」OSを使用するコンピュータを通してそうしたコントローラと通信することで、それらを操作するために構築された攻撃フレームワークだ。Symantecの調査はまだ進行中だが、このマルウェアがSISデバイスの挙動を改変するコードを注入することで、脅威アクターがそれらのデバイスを制御して、損害をもたらすことを可能にする恐れがあるようだという。
今回のケースでは、TRITONは緊急停止システムを狙う目的で利用された。FireEyeの研究者は、TRITONは「物理的な損害を及ぼす」ために使われたが、攻撃中に何らかの理由で稼働停止したという。
TRITONはSISコントローラを再プログラムするために展開されたが、それらのデバイスの一部がフェイルセーフ状態に入って、設備を停止し、運営者に異変を伝えたようだ。
「このインシデントを引き起こした脅威アクターはまだ不明だが、この活動は攻撃の準備をする国家の動きと一致するとわれわれは考えている」(FireEye)
今回のケースは、金銭を目的としたものではないようだ。しかしこのグループの持続性やスキル、主要インフラを狙うこと、自由に利用できるリソースなどすべてが、国家の支援があることを示しているようだ。
FireEyeは、「重要インフラを狙って、システムを混乱や機能の低下、破壊に陥れる動きは、ロシアやイラン、北朝鮮、米国、イスラエルの国家のアクターが世界的に実行した多数の攻撃とスパイ活動と一致している」と述べた。「この手の侵入は、必ずしも標的とするシステムを混乱させる差し迫った意図を示しているのではなく、有事に備えたものかもしれない」
提供:Symantec
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。
